Projet Sécurité des applications

ECETECH B3– Sécurité et mobilité

Dans ce projet, vous allez devoir effectuer le test d’intrusion de la machine Metasploitable2.
- Lien de téléchargement et de documentation :
https://docs.rapid7.com/metasploit/metasploitable-2

Cette machine est une DVA (Damn Vulnerable Application), elle est donc truffée de
vulnérabilités !

Appliquez les techniques de test d'intrusion vu en cours pour identifier des vulnérabilités sur
la machine est ses applications (comme nous avons déjà fait la machine DVWA, vous devrez
réaliser les tests web sur l’application Mutillidae). À l'aide de vos recherches, expliquez
comment sécuriser l'élément vulnérable. Vous pouvez vous aider de la doc ou de toute autre
ressource trouvée en ligne.

Rendu attendu :
Dans ce projet, vous êtes évalué sur la démarche de recherche associée à l'exercice. De
nombreuses informations sont disponibles sur Internet, vous serez donc noté sur vos
explications, votre compréhension des éléments identifiés, le soin apporté à votre prise de
preuves numériques, l’analyse de risque et enfin sur vos propositions de correction de
vulnérabilité. Vous devrez identifier et analyser un minimum de 5 vulnérabilités différente
web et/ou système (toute vulnérabilité en plus sera valorisée).

Attendu – rapport d’audit pentest (format PDF) contenant – À rendre le 17 décembre

à 23h55 :
- Recherches et preuves d'exploitation de vulnérabilité (exemple : capture d'écran d'une
exploitation de XSS sur l'application), capture du résultat d'un outil, etc.
- Description du risque associé à la vulnérabilité comme vu en cours (cf : DICT,
vraisemblance…)
- Recherche et proposition de correction associée à chaque vulnérabilité identifiée.
- Décomposer le document en une fiche par vuln avec : description de l'élément identifié +
preuve d'exploitation, proposition de correction)

Le projet étant une simulation d’un audit professionnel réel, respectez un langage et une
forme professionnelle dans votre rapport !

Composition des équipes : le projet peut se faire seul ou à 3 personnes maximum.

Pour réaliser ce projet, vous pouvez vous appuyer sur le document OWASP WSTG et le
système de classification de risque OWASP détaillé dans le Template de rapport. De plus, une
fiche de commande pour les outils est disponible sur campus.

Installation et configuration de la machine :

- Installez la machine virtuelle à partir des fichiers sur votre
hyperviseur (Virtual Box, HyperV, UTM…).
Tuto installation virtualbox : https://www.geeksforgeeks.org/how-to-install-
metasploitable-2-in-virtualbox/
- Configurez l’interface réseau de la VM pour que vous puissiez communiquer par réseau
entre votre machine Kali ou windows/mac/linux.
- Réalisez un scan de port une fois la machine identifiée puis lancez vos tests !

Pour ceux sur Mac avec une puce M1/M2, suivez ce tutoriel pour convertir le fichier VMDK :
https://dev.to/merlos/how-to-setup-metasploitable-in-a-mac-with-m1-chip-44ph (ajoutez
l’option « -f vmdk » dans la commande de conversion qemu).

Template de rapport :

Le rapport comprend 4 sections :

1. Page de garde
2. Synthèse managériale : ici le but est de résumer le niveau de sécurité global identifié
lors des tests (à écrire en dernier).
3. Synthèse technique : dans ce tableau, sont résumés et classés toutes les vulnérabilités
identifiées avec leur niveau de risque et la correction proposée.
4. Fiche de vulnérabilité (1 par vuln) : dans cette section, est détaillée chaque
vulnérabilité avec :
a. Description : comment la vuln a été identifié (ajouter ici les captures d’écran
etc.)
b. Risque : détail du risque, analyse des critères DICT ect.
c. Correction proposée : détail des correctifs possible pour contrer la vulnérabilité

Exemple de rapport :
Synthèse managériale
Synthèse de l’audit
Le niveau global de sécurité de ….. révélé par ce test d’intrusion est Critique pour
les applications et la configuration globale du système.

Quatre vulnérabilités critique ont été remontées. Elles ont toutes permis d’obtenir un
accès et des privilèges Administrateur sur la machine.

Plusieurs vulnérabilités majeures ont également été relevées : des composants ayant
des vulnérabilités connues et exploits publics ont été détectés et peuvent être
exploités par un attaquant.

De nombreuses autres vulnérabilités sont présentes sur la machine cible. Il n’a pas
été possible de réaliser un listing exhaustif durant le temps imparti aux tests.

0
Note Faible Moyen Élevé Critique

Les experts sécurité de ….. recommandent pour les services interne en priorité de :
-
-
-
-
 Synthèse technique
Liste des vulnérabilités détectées
La méthode de classification choisie par les auditeurs de …. est la méthode de
qualification de risque de l’OWASP.

L’ensemble des vulnérabilités trouvées dans le périmètre sont classées par risque
dans le tableau ci-dessous :

Réf. Nom Risque Vraisemblance Impact Correction

V1 Critique Élevé Élevé

V2 Critique Élevé Élevé

V3 Critique Élevé Élevé

V4 Critique Élevé Élevé

V5 Élevé Élevé Moyen

V6 Faible Moyen Faible

Détails techniques du test d’intrusion
Audit en boîte noire : Vulnérabilités
Vulnérabilité V1 : Titre de la vulnérabilité

Description

[Description de l’identification de la vulnérabilité. Insérez ici vos captures d’écran de test,

d’exploitation et toute autre information intéressante]

Risque

[Description et analyse du risque]

Le niveau de risque est donc fixé à critique/élevé/moyen/faible/note pour cette
vulnérabilité.

Correction proposée

Pour corriger cette vulnérabilité, les experts sécurité de …. recommandent de

V1 Titre de la vuln

Vraisemblance Élevé
Niveau de
Impact Élevé Critique
risque
Authentification Non-authentifié
Annexe
Méthode de classification des failles
La méthode de notation des risques utilisée pour classifier les failles est basée sur
l’OWASP Risk Rating Methodology.

Cette méthode est basée sur 3 éléments principaux : vraisemblance, impact et

risque.

Catégorie Valeurs possibles Signification

Plus il est facile de
trouver la vulnérabilité,
Vraisemblance Faible Moyen Élevé
plus la vraisemblance est
élevée.
Mesure de l’impact
(technique, fonctionnel et
Impact Faible Moyen Élevé
d’image) de la
vulnérabilité.
Niveau de risque introduit
par la vulnérabilité,
calculé en fonction des
Risque Faible Moyen Élevé Critique autres critères évalués
(difficulté d’exploitation,
vraisemblance et
impact).
Authentifié Non authentifié L’exploitation de la
vulnérabilité se fait en
Authentification
mode authentifié ou
non ?

Vraisemblance

Le calcul de la vraisemblance prend en compte plusieurs facteurs liés à la nature de

la menace :

• Niveau de connaissances requis

• Motivation nécessaire
• Ressources et moyens techniques requis
• Dimension des attaquants potentiels (visiteurs anonymes du site,
administrateurs, utilisateurs authentifiés…)

ainsi qu’à la nature de la vulnérabilité :

• Facilité de découverte de la vulnérabilité

• Facilité d’exploitation de la vulnérabilité
• Niveau de sensibilisation à la vulnérabilité (faille connue, 0-day…)
 • Facilité de détection par les outils de détection d’intrusions

Impact

L’impact est calculé en fonction de l’impact technique sur :

• la confidentialité
• l’intégrité
• la disponibilité
• la traçabilité

ainsi que l’impact métier en terme de :

• dégâts financiers
• perte d’image de marque de l’entreprise
• non-conformité
• violation de vie privée

Risque

Une fois la vraisemblance et l’impact déterminés, le tableau suivant permet de situer

automatiquement le niveau de risque :
Risque

ÉLEVÉ Moyen Élevé Critique

MOYEN Faible Moyen Élevé

Impact FAIBLE Note Faible Moyen

FAIBLE MOYEN ÉLEVÉ

Vraisemblance

Ainsi, le risque est une fonction des 2 autres éléments :

Risque = Vraisemblance * Impact